Gerir o acesso ao portal com o controlo de acesso baseado em funções

Observação

Se estiver a executar o programa de pré-visualização do Microsoft Defender XDR, agora pode experimentar o novo modelo de controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender 365. Para obter mais informações, veja Controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender 365.

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Com o controlo de acesso baseado em funções (RBAC), pode criar funções e grupos na sua equipa de operações de segurança para conceder acesso adequado ao portal. Com base nas funções e grupos que criar, tem um controlo detalhado sobre o que os utilizadores com acesso ao portal podem ver e fazer.

Importante

A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Normalmente, as grandes equipas de operações de segurança distribuídas geograficamente adotam um modelo baseado em camadas para atribuir e autorizar o acesso a portais de segurança. As camadas típicas incluem os três níveis seguintes:

Camada Descrição
Camada 1 Equipe de operações de segurança local / equipe de TI
Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa.
Camada 2 Equipe de operações de segurança regional
Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação.
Camada 3 Equipe de operações de segurança global
Esta equipa é constituída por especialistas em segurança e está autorizada a ver e efetuar todas as ações a partir do portal.

Observação

Para recursos da Camada 0, consulte Privileged Identity Management para administradores de segurança para fornecer um controlo mais granular do Microsoft Defender para Endpoint e do Microsoft Defender XDR.

O RBAC do Defender para Ponto Final foi concebido para suportar o seu modelo de escalão ou baseado em funções e dá-lhe controlo granular sobre as funções que podem ver, os dispositivos a que podem aceder e as ações que podem efetuar. A arquitetura RBAC está centrada nos seguintes controlos:

  • Controlar quem pode tomar medidas específicas
    • Crie funções personalizadas e controle as capacidades do Defender para Endpoint às quais pode aceder com granularidade.
  • Controlar quem pode ver informações sobre grupos ou grupos de dispositivos específicos
    • Crie grupos de dispositivos através de critérios específicos, tais como nomes, etiquetas, domínios e outros, e conceda-lhes acesso de função através de um grupo de utilizadores específico do Microsoft Entra.

      Observação

      A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Para implementar o acesso baseado em funções, terá de definir funções de administrador, atribuir permissões correspondentes e atribuir grupos de utilizadores do Microsoft Entra atribuídos às funções.

Antes de começar

Antes de utilizar o RBAC, é importante que compreenda as funções que podem conceder permissões e as consequências de ativar o RBAC.

Aviso

Antes de ativar a funcionalidade, é importante que tenha uma função de Administrador Global ou Administrador de Segurança no Microsoft Entra ID e que tenha os seus grupos do Microsoft Entra prontos para reduzir o risco de ser bloqueado fora do portal.

Quando inicia sessão pela primeira vez no portal do Microsoft Defender, é-lhe concedido acesso total ou acesso só de leitura. Os direitos de acesso total são concedidos aos utilizadores com funções de Administrador de Segurança ou Administrador Global no Microsoft Entra ID. O acesso só de leitura é concedido aos utilizadores com uma função de Leitor de Segurança no Microsoft Entra ID.

Alguém com uma função de Administrador Global do Defender para Endpoint tem acesso sem restrições a todos os dispositivos, independentemente da associação do grupo de dispositivos e das atribuições de grupos de utilizadores do Microsoft Entra.

Aviso

Inicialmente, apenas as pessoas com direitos de Administrador Global ou Administrador de Segurança do Microsoft Entra podem criar e atribuir funções no portal do Microsoft Defender; Por conseguinte, é importante ter os grupos certos prontos no Microsoft Entra ID.

Ativar o controlo de acesso baseado em funções faz com que os utilizadores com permissões só de leitura (por exemplo, utilizadores atribuídos à função de leitor do Microsoft Entra Security) percam o acesso até serem atribuídos a uma função.

Os utilizadores com permissões de administrador são automaticamente atribuídos à função predefinida de Administrador Global do Defender para Ponto Final com permissões completas. Depois de optar ativamente por utilizar o RBAC, pode atribuir utilizadores adicionais que não sejam Administradores Globais do Microsoft Entra ou Administradores de Segurança à função Administrador Global do Defender para Ponto Final.

Depois de optar ativamente por utilizar o RBAC, não pode reverter para as funções iniciais como quando iniciou sessão no portal pela primeira vez.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.